als PDF
Transcription
als PDF
ix0709_x_01_02.pdf 18.06.2009 13:13:36 Uhr - 1 - ( ) ix.0709.x.01-08 12.06.2009 11:30 Uhr Seite I sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG Security extra Security Vom isolierten Schadprogramm zum „Blended Threat“ Vom isolierten Schadprogramm zum „Blended Threat“ Die komplexe Gefahr Seite I Strategien zum Schutz gegen Malware Faktor Mensch Seite IV Vorschau Storage Storage via Ethernet Seite VIII Veranstaltungen 20. – 24. Juli 2009, San José Open Source Convention (OSCON) en.oreilly.com/oscon2009 17. – 19. August 2009, Köln Game Developer Conference Europe www.gdceurope.com 4. – 9. September 2009, Berlin IFA 2009 www.ifa-berlin.de 6. – 8. Oktober 2009, Den Haag Isse 2009 www.isse.eu.com 13. – 15. Oktober 2009, Nürnberg it-sa www.it-sa.de 3. – 5. November 2009, München RiskConf 2009 www.ix-conference.de iX extra hlagen: Nachsc .shtml rity Security zum cu e/ix/extra/se www.heise.d Die komplexe Gefahr Hinter der Viren- und Trojaner-Szene stecken zunehmend konkrete finanzielle Interessen. Diese These ist nicht neu, aber ihre praktischen Auswirkungen spüren die Anwender erst jetzt: Malware ändert ihren Charakter, sie wandelt sich vom Einzelphänomen zum „Frontend“ einer ganzen Schattenwirtschaft. alware existierte lange Zeit als ein konzeptionell einfach zu fassendes Risiko: Es handelte sich um unerwünschte Software, die sich auf unterschiedliche Weise aktiv verbreitete und zumeist auch einen spezifischen Schaden verursachte. Simpel war das Konzept, weil die meisten Malware-Schreiber nur zeigen wollten, dass sie Sicherheitsmaßnahmen überwinden konnten und den Administratoren der Unternehmen und anderen Organisationen überlegen waren. Dass diese Zeiten vorbei sind, ist bekannt. Vor allem die Anbieter von Anti-Virus-Produkten, aber ebenso unabhängige Organisationen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), das europäische BSI-Pendant ENISA, die Gesellschaft für Informatik oder die EICAR berichten seit etwa zwei Jahren regelmäßig von einer gut organisierten kriminellen Schattenwirtschaft, die Malware lediglich als Mittel zu einem sehr profanen Zweck betrachtet: Sie soll gezielt Finanz- und Geschäftsdaten oder sonstige per- M sönliche Informationen ausspionieren und Rechner für die Spam-Versendung oder andere Transaktionen kapern. Sabotage-Malware gibt es nach wie vor, aber auch sie soll inzwischen nicht mehr einfach die Überlegenheit ihres jeweiligen Autors beweisen, sondern Geld bringen. Prominentestes Beispiel ist Software, die in Systeme eindringt, deren Festplatten verschlüsselt und die Entschlüsselung nur gegen die Zahlung eines Lösegelds erlaubt. Dass diese kriminellen Geschäftsansätze nicht überhand nehmen, liegt allein in den Problemen der Geldwäsche begründet. Die üblichen Wege und Methoden, bei denen ein angeworbener Helfer – wie bei der finanziellen Auswertung von Phishing-Attacken – Zahlungen auf seinem Konto entgegennimmt und dann über anonyme Geldtransfer-Institute an die eigentlichen Empfänger weiterreicht, sind nicht leistungsfähig genug für Transaktionen im großen Stil. Mit Malware lassen sich aber auch Geschäfte einfädeln, bei denen der Geldtransfer völlig im I ix0709_x_01_02.pdf 18.06.2009 13:13:53 Uhr - 2 - ( ) ix.0709.x.01-08 12.06.2009 11:30 Uhr Seite II Security Verborgenen abläuft. Dies gilt beispielsweise für diverse Varianten der Industriespionage. Spyware etwa wird zum Abschöpfen von Geschäftsinformationen verwendet, für die sich die Konkurrenz der betroffenen Unternehmen interessiert. Dabei individualisieren die Angreifer ihre Spionageprogramme nicht immer gleich so weit, dass sie auf eine einzelne Abteilung oder gar Person in einem ganz bestimmten Unternehmen zugeschnitten sind. Vielmehr lässt sich Spyware zum Beispiel über eine gefälschte oder unterwanderte Branchen-Informationsseite gezielt in möglichst viele Firmen derselben Geschäftsrichtung einschleusen. Die Ergebnisse einer solchen Aktion könnten die Angreifer dann an ein Unternehmen verkaufen, das aus der gleichen Branche kommt und sich in einem bestimmten Land neu positionieren möchte. Der WebSecurity-Anbieter Scansafe etwa geht in seiner Prognose für 2009 davon aus, dass Malware dazu dienen wird, gezielt patentfähige Forschungsergebnisse aus firmeninternen Entwicklungsabteilungen auszuspionieren. Malware der kommenden Jahre dürfte vor diesem Hintergrund zunehmend als Teil sogenannter „Blended Threats“ auftreten. Die Angreifer verfolgen ihre Ziele auf unterschiedlichen Wegen gleichzeitig, und sie werden versuchen, Spyware per Mail, Web und auf Datenträgern in die Unternehmen zu schaffen. Ausschließlich per Massenmail verteilte Schädlinge nehmen ab, dafür steigt weiterhin – hier sind sich nahezu alle Studien einig – die Zahl der Trojaner und Spyware-Produkte, die über Websites per Drive-by-Download verteilt werden. Außerdem nimmt die Zahl derjenigen Trojaner zu, die sich über zielgerichtete Download-Anreize für immer kleinere Zielgruppen verbreiten. Quelle: Microsoft Qualitätssicherung im Malware-Business Würmer setzen auf Social Engineering: Hier hat Conficker Auto-Play-Optionen in Windows um eigene Funktionen ergänzt. Die markierte Option „Open folder …“ taucht in diesem Dialog normalerweise nicht auf (Abb.ˇ1). Der Wurm „WORM_WALEDAC.KAX“ köderte Anwender mit angeblichen Informationen über Barack Obamas Präsidentschaftskandidatur (Abb.ˇ2). II Moderne Malware des beschriebenen Musters hat Erfolg: Die erwähnte Scansafe-Prognose, die auf einer Analyse von 20 Milliarden monatlichen Web-Anfragen bei Unternehmen in 80 Ländern beruht, geht davon aus, dass der Umfang der im Web verbreiteten Malware monatlich um 6 % steigt. Die Rate der tatsächlich betroffenen Anwender wächst um 16 %. Vor diesem Hintergrund werden sich die Angreifer bemühen, die SocialEngineering-Komponenten der Malware-Produkte noch weiter auszufeilen. Dies wiederum hat Konsequenzen für die Abwehrstrategien. Interessant für die weitere Analyse ist die Tatsache, dass moderne Malware auf ihrem speziellen Markt „Qualität“ beweisen muss, um in ihrem Anwendungsbereich den beschriebenen Erfolg zu haben. Es reicht eben nicht mehr, dass der Autor des Schädlings mit seinem Produkt zufrieden ist. Die Qualitätsmerkmale für die Ware Malware sind unterschiedlicher Natur. Zunächst zählt natürlich nach wie vor die technische Qualität der Programme selbst. Sie müssen beispielsweise hinreichend flexiblen Code aufweisen, um den Wettlauf mit den Scan-Engines immer wieder zu gewinnen. Darüber hinaus punkten – wie bei „guten“ IT-Produkten – die Vernetzungs- und Kommunikationsfähigkeiten, das heißt die „Kollaborationseigenschaften“. Konkret handelt es sich dabei etwa um Funktionen zur Fernsteuerung durch den Auftraggeber und gegebenenfalls die Fähigkeit, ein schnell fluktuierendes Botnet zu bilden. Ein weiteres zentrales Qualitätskriterium ist die Konfigurierbarkeit für verschiedene Social-EngineeringKonzepte, die es erlaubt, Malware zum Beispiel im Rahmen einer gezielten Phishing-Attacke gegen eine bestimmte Anwendergruppe einzusetzen. Diese Aufteilung der Qualitätsmerkmale und Anforderungen an Malware führt zu einer zunehmenden Arbeitsteilung bei den Produzenten der Schädlinge. Untersuchungen von RSA Security und MessageLabs haben gezeigt, dass Malware immer häufiger als „Service“ angeboten wird. Dabei können die Kunden ihre Wunsch-Schädlinge nach einem Baukastenprinzip für bestimmte Aufgaben zusammenstellen und gegebenenfalls eine Botnet-Infrastruktur oder gefälschte Webseiten mitbuchen. Der Leistungsumfang orientiert sich an den Ansprüchen des Kunden und dessen Zahlungsbereitschaft. Selbst Service Level Agreements, Support und Testplattformen gehören inzwischen zum Repertoire der Schattenwirtschaft. Auf den ersten Blick scheint es, als müsse das Baukastenprinzip zu einer gewissen Standardisierung der MalwareProdukte führen, die deshalb iX extra 7/2009 ix0709_x_03_Kaspersky.pdf 18.06.2009 13:14:31 Uhr - 1 - ( ) Cybercrime Daniels Netzwerk ist geschützt. Ihres auch? Wir halten Ihre Systeme am Laufen! Mit zentraler Administration erleichtern wir Ihren Berufsalltag. Daniel muss sich um vieles kümmern. Er sorgt für Überprüfen Sie jetzt, ob Ihr Unternehmen auch rich- die Verfügbarkeit des Systems und ein robustes tig geschützt ist. Mit dem kostenlosen Kaspersky Netzwerk. Außerdem löst er die technischen Pro- Cybercrime Scanner und einem Ratgeber zum bleme seiner Kollegen. Schutz vor Cyberkriminalität im Unternehmen: www.stop-cybercrime.de Wegen Cybercrime macht er sich keine Sorgen. Wie 250 Millionen Menschen weltweit verlässt er sich auf Kaspersky Lab, wenn es um den zuverlässigen Schutz vor Trojanern, Phishing-Mails, Hackerangriffen und Spam geht. w w w . k a s p e r s k y . d e KASPERSKY_IX_200x280_5_D.indd 1 10.06.2009 16:01:10 ix0709_x_04.pdf 18.06.2009 13:14:46 Uhr - 1 - ( ) ix.0709.x.01-08 12.06.2009 11:30 Uhr Seite IV Security Trends in Kürze Neben dem generellen Trend zu Malware, die immer häufiger als Bestandteil komplexer Blended Threats auftritt, haben die Labore der Anbieter von Abwehrlösungen zu Beginn des Jahres eine Reihe bemerkenswerter punktueller Trends veröffentlicht. Hier einige der wichtigsten in Kürze: – Social-Network-Phishing nimmt einer Reihe von Studien zufolge zu. Kundendaten sind ein wertvolles Gut, und aus SocialNetworking-Seiten lässt sich eine Fülle von Informationen über kaufkräftige Zielgruppen ermitteln. Ein Angreifer, der per Phishing beispielsweise Kontodaten hinzugewinnt, kann höchst wertvolle „qualifizierte Adressdatensätze“ verkaufen. Außerdem lassen sich die so gewonnenen Daten dazu nutzen, fremde Identitäten für Transaktionen einzusetzen. – Botnetze nutzen Hypervisor-Technik. Nachdem es 2008 gelungen ist, einige klassische Botnetze wirksam zu bekämpfen, suchen die Betreiber nach besserer Technik. MessageLabs sieht erste Anzeichen dafür, dass die Angreifer mit Virtualisierungstechnik experimentieren. – Captcha-Mechanismen werden unterwandert. Viele Webanbieter versuchen, den Missbrauch ihrer Angebote durch maschinelle Angriffe zu unterbinden, indem sie den Anwender vor Abschluss einer Transaktion grafisch verschleierte Zeichen abtippen lassen, die eine bösartige Software nicht einfach aus der Website auslesen kann. Hier hat ein neuer Wettlauf zwischen Gut und Böse begonnen: Einzelne Captcha-Mechanismen sind bereits geknackt. – Reputationsdiebstahl könnte zunehmen. Einige Malware-Spezialisten befürchten, in den vergangenen Monaten bekannt gewordene Sicherheitslücken in der DNS-Infrastruktur könnten von Angreifern dazu genutzt werden, Anwendern beim Surfen oder bei der E-Mail-Kommunikation falsche IP-Adressen unterzuschieben. – Javascript-Malware nimmt G-Data zufolge ab, während FlashMalware zunimmt. Angreifer haben Verfahren zum Flashgestützten Phishing entwickelt. Auch die Media-Player werden ein Angriffsziel bleiben – hier kommt Malware in Form von angeblich benötigten Zusatz-Codecs für Filme ins Spiel, hinter denen sich Trojaner-Komponenten verbergen. Faktor Mensch Strategien zum Schutz gegen Malware Die kriminellen Machenschaften der Malware-Szene verlangen von Unternehmen eine mehrdimensionale Abwehrstrategie. Es gilt, mit technischen Mitteln möglichst viele Einfallstore für Spyware, Würmer, Viren und Trojaner zu schließen und zugleich die Anwender einzubeziehen. Deren Schwächen nutzen die Angreifer heute oft lieber aus als die klassischen Sicherheitslücken im Netzwerk und den Anwendungen. IV leichter von Scannern entdeckt werden könnten. Aber diese Hoffnung trügt: Das Qualitätsmerkmal der Wandlungsfähigkeit ist eines, das die Hersteller von Trojanern, Spyware und anderen Schädlingen nicht nur hartnäckig verfolgen, sondern auch zuverlässig erreichen. Moderne Malware kann ihre Gestalt ändern, selbst wenn sie über einen gewissen Zeitraum dem gleichen Ziel dient. Hinzu kommen die erwähnte Arbeitsteilung, die mit dem Fachwissen unterschiedlicher Spezialisten einen weiteren Qualitätsschub bei Malware-Produkten mit sich bringt, und die Tatsache, dass für lukrative Projekte auch die entsprechenden finanziellen Mittel zur Verfügung stehen. Ein weiterer für die heutige Malware-Szene charakteristischer Aspekt ist ihre schnelle Reaktion auf wirtschaftliche und zeitgeschichtliche Entwicklungen und Ereignisse. So kompensierte die Schattenwirtschaft Einnahmeverluste, die ihr durch verstärkte Maßnahmen der Banken gegen klassischen Kreditkartenbetrug entstanden, sofort durch intensivierte Phishing-Aktivitäten, um die Konten ihrer Opfer direkt zu plündern. Die Social-Engineering-Komponenten ihrer Produkte passen die Betrüger mit hoher Effektivität der jeweils aktuellen Nachrichtenlage an. So lieferten sie während der Präsidentenwahl in den USA eine Fülle von angeblichen Informationen zu Barack Obama und seinen Kontrahenten. Die „Nachrichten“ waren perfekt lokalisiert und bedienten exakt die Erwartungshaltungen in den jeweiligen Zielländern. Selbst vorsichtige Anwender lassen sich auf diese Weise per Mail und im Web überrumpeln. Prominenten-Spam, der Klatschnachrichten über Stars imitiert und die Opfer mit scheinbaren Enthüllungen auf Malware-Seiten lockt, ist besonders häufig zu beobachten. Klassische Virenscanner geraten durch die beschriebenen Trends ins Hintertreffen. Sie sind nach wie vor allein auf das Aufspüren von Viren, Spyware und Trojanern an einzelnen Rechner- und Netzwerkschnittstellen ausgerichtet. Damit leisten sie zwar weiterhin einen wichtigen Beitrag zur Bekämpfung, erfassen aber nur einen Teil des Gesamtphänomens, das hinter moderner Malware steckt. Wer der Bedrohung in Zukunft wirkungsvoll begegnen will, benötigt neue Strategien, die neben der Fülle der technischen Einfallstore für Schadprogramme zunehmend den Menschen am PC einbeziehen. (sf/ur) Bettina Weßelmann arbeitet als freie Fachjournalistin in München. alware schädigt Unternehmen heute auf mehreren Ebenen – sie hilft Kriminellen, vertrauliche Informationen auszuspionieren, um sie der Konkurrenz oder der Öffentlichkeit zuzuspielen, sie missbraucht Firmenrechner für den Spam-Versand und für die Verteilung weiterer Malware und sie sabotiert IT-Systeme direkt. Der Schaden, den sie anrichtet, beschränkt sich längst nicht mehr auf technische Ausfallzeiten und deren Konsequenzen. Malware kann die Konkurrenzfähigkeit eines Unternehmens auch über die Einschränkung der Effizienz und den Verlust des guten Rufes untergraben. Wer Mitbewerber ausschalten will, spioniert deren Kundendaten aus und nutzt sie selbst oder stellt sie ins Web. Mit der Wirkungsbreite moderner Schadsoftware steigt auch deren Schlagkraft. Statt singulären Angriffsprogrammen sieht sich ein Unternehmen heute ganzen Kampagnen gegenüber, die maßgeschneiderte Malware in ein komplexes Geflecht aus Phishing-Attacken, M iX extra 7/2009 ix0709_x_05_Eset.pdf 18.06.2009 13:15:06 Uhr - 1 - ( ) ADVANCED+ ON DEMAND DETECTION TEST FEB 09 ix0709_x_05_Eset.indd 1 15.06.2009 11:42:07 Uhr ix0709_x_06.pdf 18.06.2009 13:15:22 Uhr - 1 - ( ) ix.0709.x.01-08 12.06.2009 11:30 Uhr Seite VI Security Social Engineering und direktem Hacking einbinden. Trojaner, Spyware und Würmer dringen über E-Mail, kriminelle Webangebote, kompromittierte „gute“ Webseiten, Fileshares, mobile Datenträger und auf weiteren Wegen in die Netze ein. Immer ausgedehntere Firmennetzwerke ohne feste Grenzen, die mit Home-OfficePCs, Notebooks und den Geräten von freien Mitarbeitern und Beratern verbunden sind, schaffen hier immer mehr Angriffsvektoren für Hacker und Malware-Programmierer. Hinzu kommt, dass aktuelle Compliance-Ansprüche und die Sachzwänge moderner Arbeits- welten mehr denn je auseinanderdriften: So unterliegt gerade heute längst nicht mehr jedes Gerät im Netz vollständig der Gewalt des Administrators, während formal die Forderung nach lückenlosem Sicherheitsmanagement der Systeme immer lauter wird. So sieht sich der Systemverwalter mit rechtlichen Vorschriften, vertraglichen Vereinbarungen und einer wachsenden Sensibilität der Öffentlichkeit für Datenschutzfragen konfrontiert, die einen konsequenten Schutz von Ressourcen wie Kundendatenbanken und Produktionsservern im Unternehmen verlangen. Zugleich aber muss er dieselben Ressourcen einer rasch wachsenden Zahl von Anwendern, privaten PCs und anderen netzwerkfähigen Geräten sowie selbstständig operierenden Systemen wie den Webservices zugänglich machen. Filter sind nur ein Baustein Dies hat Konsequenzen für das Abwehren von Schadprogrammen. Administratoren müssen Sensoren, Barrieren und Ansatzpunkte für Gegenmaßnahmen übers ganze Netz verteilen, je nach Schutzbedarf einzelner Systeme und Netzsegmente. Die Technik muss MARKTÜBERSICHT ANTI-VIREN-LÖSUNGEN Die folgende Übersicht erhebt keinen Anspruch auf Vollständigkeit. Hersteller Aladdin Alwil Authentium AVG Avira ClamAV Computer Associates Doctor Web ESET F-Secure G Data Group Technologies IKARUS Software IronPort Kaspersky Landesk McAfee MessageLabs Microsoft Microworld Netcleanse Norman Data Defense Panda Security QuickHeal Rising Safe&Software Shavlik Softwin Sophos Sunbelt Software Symantec Trend Micro Virusblokada VI Produkt eSafe Avast Professional Command AV Anti-Virus Netzwerk Edition AntiVir Server ClamAV for Unix Antivirus, Threat Manager r8.1 Dr.Web NOD32 Anti-Virus AntiVirus iQ Suite IKARUS Email Gateway Space Security AntiVirus Secure Internet Gateway, Virusscan Email Anti-Virus Live OneCare, Forefront eScan Netcleanse Norman Endpoint Protection Security for Enterprise AntiVirus for Linux/Windows Rising AV Safe’n Sec NetChk Protect 7 BitDefender Anti-Virus VIPRE Enterprise AntiVirus Corporate Edition InterScan, OfficeScan, ScanMail VBA32 Webadresse www.aladdin.de www.avast.com www.authentium.com www.avg.de www.avira.de www.clamav.net www.ca.com.de www.drweb-online.com www.eset.de www.f-secure.de www.gdata.de www.group-technologies.com/de www.ikarus.at www.ironport.de www.kaspersky.de www.landesk.de www.mcafee.de de.messagelabs.com www.microsoft.com/germany www.microworld.de www.netcleanse.com www.norman.com.de www.pandasecurity.com/germany www.quickheal.co.in www.rising-eu.com www.safensoft.de www.shavlik.com www.bitdefender.de www.sophos.de www.sunbeltsoftware.com www.symantec.de www.trendmicro.com.de www.vba32.de so funktionieren, dass sie die produktive Arbeit im Unternehmen mit seinen immer mobileren und immer eigenständiger arbeitenden Anwendern nicht stört. Die wohl wichtigste strategische Forderung im Bereich des Schutzes gegen Malware ist es, Filter und Virenscanner nur noch als eine von mehreren Komponenten der Abwehr zu betrachten. Ein modernes Netz braucht Scanner am Gateway, auf Clients, im Netz vor zentralen Ressourcen und in den speziellen Varianten der XML- und Web Application Firewalls. Als zusätzliche Abwehrbarrieren aber dienen Systeme, die man bisher eher als Mittel gegen direkte Hacks und die Aktivitäten unberechtigter Benutzer kennt. Dabei handelt es sich unter anderem um Intrusion Prevention, Netzwerksegmentierung, starke Authentifizierung und Verschlüsselung. Dass sich die Abwehr von Malware und die Maßnahmen gegen Hacker heute decken, ist auf Einsatzzweck und Technik der modernen schädlichen Software zurückzuführen. Sie agiert im Netz möglichst in der Rolle eines Anwenders und versucht, eigenen Zwecken wie dem Versand von Spam nachzugehen, Informationen abzugreifen oder sie zu zerstören. Abschottung einzelner Segmente Je besser ein Netz segmentiert ist, je sicherer die Anmeldeprozeduren an wichtigen Servern und Datenbanken gestaltet sind und je besser die Sicherheitssysteme außergewöhnliches Verhalten im Netz aufspüren, desto weniger Schaden kann ein Trojaner oder eine Spyware anrichten, wenn die Malware doch einmal die Virenscanner überwindet und dann etwa die Rechte eines einzelnen Benutzers oder einen kompletten exponierten Server in der DMZ übernimmt. iX extra 7/2009 ix0709_x_07_Genua.pdf 18.06.2009 13:15:39 Uhr - 1 - ( ) Neuheit GeNUCard Kompaktes Sicherheitspaket für Laptops mit Firewall QQVPN-Gateway QQToken-Funktion QQ IT- Security to go www.genua.de ix0709_x_000_Genua.indd 1 09.06.2009 14:45:50 Uhr ix0709_x_08.pdf 18.06.2009 13:15:56 Uhr - 1 - ( ) ix.0709.x.01-08 12.06.2009 11:30 Uhr Seite VIII Security Vor diesem Hintergrund lesen sich die aktuellen Empfehlungen der Burton Group zur Abwehr von Malware in ihrem Positionspapier „Security and Risk Management Strategies: Malicious Software“ nicht zufällig wie eine Komplettanleitung zur Netzwerksicherheit. Für Host-Systeme befürworten die Analysten gewöhnliche On-Demand- und On-AccessScanner, den Einsatz von System-Firewalls, stets aktuelle Patches zum Schließen von Sicherheitslücken und, wenn möglich, eine restriktive Konfiguration, die möglichst viele potenzielle Malware-Aktivitäten unterbindet. Wo ein erhöhtes Risiko vermutet wird, rät die Burton Group zusätzlich zu Host-Intrusion-Detection-Systemen, die mit Anomalie-Erkennung ausgerüstet sind, zu speziellen Sicherheitsmodulen für E-MailProgramme und Browser sowie zum Application Whitelisting und zur Einführung von NAC. Die beiden letzten Punkte dürften für besonders gefährdete oder exponierte Systeme wohl die interessantesten sein. Application Whitelisting schließt unangemeldete Programme und damit auch Malware von einem Start auf dem betreffenden Rechner aus, und NAC sorgt zum Beispiel dafür, dass kein Computer ohne aktiven Virenscanner und ohne eine bestimmte SicherheitsMindestausrüstung überhaupt ins Netz kommt. Whitelisting ist allerdings nicht anwendbar auf Computern, auf denen häufige Software-Installationen zur Arbeit des Anwenders gehören. Die Empfehlung der Burton Group für E-Mail-Anwendungen bietet nichts Außergewöhnliches: Filterschutz per Service, am Gateway und auf dem Server. Im Bereich Netzwerk allerdings führen die Analysten das gesamte Arsenal heutiger Sicherheitstechnik an – von Network Intrusion Prevention mit Anomalieerkennung über Forensik und NAC bis hin zur fortgeschrittenen Segmentierung. Im Webbereich sollen die Systemverwalter neben den üblichen Filtern auch Application Proxies, Instant-Messaging-Filter und gezielten Schutz vor Peer-to-Peer-Übertragungen implementieren. Wichtig ist der Rat, beim Filtern die Richtung vom Netz nach außen nicht zu vergessen. Malware, die allen Vorkehrungen zum Trotz ins Netz gelangt ist, kann dann immerhin keine Informationen an ihre Produzenten senden und fällt möglicherweise aufgrund ihrer Versuche auf, „nach Hause zu telefonieren“. Im Remote-Access-Bereich sind der Burton Group zufolge VPNs, Gateway-Filter, Segmentierung und erneut Intrusion Prevention gefragt. Und für den Fall, dass doch einmal Malware ins Netz eindringen kann, sollte ein Unternehmen seine Systeme schnell von Images wiederherstellen können. Der Mensch als Sensor und Firewall Was im Rahmen des technischen Ansatzes der Burton Group kaum zur Sprache kommt, ist der menschliche Faktor. Zuletzt haben die Varianten der Conficker-Malware mit ihrer Vielzahl an Verbreitungswegen gezeigt, wie gefährlich es sein kann, wenn Anwender die Gefahren des Umgangs mit Web, E-Mail und In iX extra 8/2009: Storage – Storage via Ethernet Am Anfang war das Ethernet. Verteilte Netze ermöglichten die Übertragung von Daten auf Speichergeräte, die nicht mehr direkt neben dem Server stehen mussten. Doch waren Paketverluste und Latenzzeiten in Kauf zu nehmen. Erst mit Fibre-Channel-Netzen und einer vom LAN abgetrennten Infrastruktur setzte sich ein für große Unternehmen geeigneter neuer Standard durch. Für kleinere Firmen, bei denen es weniger auf Perfektion als auf niedrige Kosten ankommt, eröffnete iSCSI auf Basis von Ethernet eine Perspektive. Worin sich die Ansätze voneinander unterscheiden und wie sie sich historisch entwickelten, zeichnet das iX extra nach. Auch fragt sich, ob Fibre Channel over Ethernet (FCoE) den Tod von Fibre Channel bedeutet oder nur eine logische Etappe in der Entwicklung ist. Erscheinungstermin: 23.07.2009 DIE WEITEREN IX EXTRAS: Ausgabe 09/09 Networking 10/09 Embedded Systems 11/09 Security VIII Thema Sicher verbunden – Virtual Private Networks Automotive Computing On- und Offline-Verschlüsselung Erscheinungstermin 20.08.09 17.09.09 15.10.09 USB-Sticks nicht kennen. Außerdem arbeiten immer mehr schädliche Programme mit Social-Engineering-Komponenten, um beispielsweise an Kennwörter zu gelangen oder sich einfach auf ein System downloaden zu lassen. Einer der wichtigsten Aspekte einer schlagkräftigen Abwehrstrategie gegen diese Risiken liegt darin, sicherheitsgerechtes Verhalten tatsächlich zum Teil der Unternehmenspraxis zu machen. Dazu müssen nicht nur die „normalen“ Anwender ihr Verhalten ändern, sondern auch Administratoren, Sicherheitsverantwortliche und die Fachvorgesetzten der Abteilungen. Die Security-Spezialisten zum Beispiel sollten die Anwender unbedingt unterstützen, wenn diese sich freiwillig sicherheitsgerecht verhalten. Wenn ein Mitarbeiter beispielsweise mit einem USB-Stick zur Administration kommt, den er an fremde Rechner anschließen musste, sollte ihm der Systemverwalter bei der Überprüfung helfen. Und meldet ein Mitarbeiter aus freien Stücken, dass er vielleicht auf eine verseuchte Website geraten ist oder seltsames Systemverhalten bemerkt, ist statt Tadel und Sanktion ebenfalls Hilfe angebracht. Menschen sind hervorragende Sicherheitssensoren, wenn man sie in die SecurityArbeit einbezieht. Damit Letzteres gelingt, muss man ein gewisses Maß an Fehlern akzeptieren, Fragen geduldig beantworten und auch laienhaft vorgetragene Beobachtungen ernstnehmen. Besonders effektiv lassen sich die Mitarbeiter eines Unternehmens übrigens für die Sicherheit aktivieren, wenn man ihre Fachvorgesetzten als Multiplikatoren für die Awareness-Arbeit gewinnt – denn am Verhalten und den Vorgaben ihrer Abteilungsleiter orientieren sich die meisten Angestellten weit eher als an den Regeln des IT-Personals. (sf/ur) Bettina Weßelmann iX extra 7/2009